SSTP - Протокол для построения VPN-туннеля

Минусы

Плюсы

· Высокая скорость

· Встроенный клиент практически на всех платформах.

· Простая настройка

· Протокол взломан Агентством национальной безопасности США

· Не гарантирует полную безопасность

2.2 L2TP – Протокол для построения VPN-туннеля

L2TP (Layer 2 Tunneling Protocol) - протокол туннелирования уровня 2 (канального уровня). (в соответствии с рис. 7) Объединяет протокол L2F (Layer 2 Forwarding), разработанный компанией Cisco, и протокол PPTP корпорации Microsoft. Позволяет организовывать VPN с заданными приоритетами доступа, однако не содержит в себе средств для защиты данных и механизмов аутентификации.

Рис. 7 – Модель OSI

Протокол L2TP использует сообщения двух типов: управляющие и информационные сообщения.

Управляющие сообщения используются для установления, поддержания и ликвидации туннелей и вызовов. Для обеспечения доставки ими используется надежный управляющий канал протокола L2TP.

Информационные сообщения используются для инкапсуляции кадров PPP, передаваемых по туннелю. При потере пакета он не передается повторно.

Структура протокола описывает передачу кадров PPP и управляющих сообщений по управляющему каналу и каналу данных протокола L2TP. Кадры PPP передаются по ненадежному каналу данных, предварительно дополняясь заголовком L2TP, а затем - по транспорту для передачи пакетов, такому как Frame Relay, ATM и т.п. Управляющие сообщения передаются по надежному управляющему каналу L2TP с последующей передачей по тому же транспорту для пересылки пакетов.

Все управляющие сообщения должны содержать порядковые номера, используемые для обеспечения надежной доставки по управляющему каналу.

Информационные сообщения могут использовать порядковые номера для упорядочивания пакетов и выявления утерянных пакетов.

Преимущества протокола L2TP:

· Разнообразие протоколов. Так как используется кадрирование PPP, удаленные пользователи могут использовать для доступа к корпоративному узлу большое количество различных протоколов, таких как IP, IPX и т.д.

· Создание туннелей в различных сетях. L2TP может работать как в сетях IP, так и в сетях ATM, Frame Relay и др.

· Безопасность передачи данных. При этом, пользователь не должен иметь никакого специального программного обеспечения.

· Возможность аутентификации пользователей.

Сетевой уровень (уровень IP). Используется протокол IPSec реализующий шифрование и конфиденциальность данных, а также аутентификацию абонентов. Применение протокола IPSec позволяет реализовать полнофункциональный доступ эквивалентный физическому подключению к корпоративной сети. Для установления VPN каждый из участников должен сконфигурировать определенные параметры IPSec, т.е. каждый клиент должен иметь программное обеспечение реализующее IPSec.

Протокол туннелирования уровня 2, в отличие от других протоколов VPN, не шифрует и не защищает данные. Из-за этого часто используются дополнительные протоколы, в частности IPSec, с помощью которого данные шифруются еще до передачи. Все современные устройства и системы, совместимые с VPN, имеют встроенный протокол L2TP/IPSec. Установка и настройка совершаются легко и не занимают много времени, однако может возникнуть проблема с использованием порта UDP 500, который блокируется файрволами NAT. Так что, если протокол используется с брандмауэром, может потребоваться переадресация портов.

Не известно о каких-либо крупных уязвимостях IPSec, и при правильном применении, этот протокол обеспечивает полную защиту конфиденциальных данных. Тем не менее, Эдвард Сноуден также отмечает, что и этот протокол не так безопасен. Джон Гилмор, основатель и специалист по безопасности Electric Frontier Roundation, заявляет, что Агентство национальной безопасности США намеренно ослабляет протокол. Более того, двукратное капсулирование данных делает протокол не столь эффективным, как, например, решения на основе SSL, но при этом он работает медленнее других протоколов.

Плюсы

· Считаются относительно безопасными протоколами

· Доступны в большинстве систем и почти на всех устройствах

· Простая настройка

Минусы

· Медленнее, чем OpenVPN

· Защита протокола нарушена Агентством национальной безопасности США

· Сложно использовать при наличии блокировки со стороны брандмауэра

· Вероятнее всего, Агентство национальной безопасности США намеренно ослабляет протокол.

2.3 IPSec – Протокол для построения VPN-туннеля

IPSec (IP Security) - набор протоколов, касающихся вопросов обеспечения защиты данных при транспортировке IP-пакетов. IPSec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. Протоколы IPSec работают на сетевом уровне (уровень 3 модели OSI).

Интернет-протокол (IP) не имеет средств защиты передаваемых данных. Он даже не может гарантировать, что отправитель является именно тем, за кого он себя выдает. IPSec представляет собой попытку исправить ситуацию. При использовании IPSec весь передаваемый трафик может быть защищен перед передачей по сети.

При использовании IPSec получатель сообщения может отслеживать источник полученных пакетов и удостовериться в целостности данных. Необходимо быть уверенным в том, что транзакция может осуществляться только один раз (за исключением случая, когда пользователь уполномочен повторять ее). Это означает, что не должно существовать возможности записи транзакции и последующего ее повторения в записи с целью создания у пользователя впечатления об осуществлении нескольких транзакций.

Представьте себе, что мошенник получил информацию о трафике и знает, что передача такого трафика может дать ему какие-то преимущества (например, в результате на его счет будут переведены деньги). Необходимо обеспечить невозможность повторной передачи такого трафика.

Рис. 8 – Пример соединения компьютеров по IPSec

С помощью виртуальной частной сети (VPN) можно решать следующие прикладные задачи:

· Виртуальная частная сеть между организациями;

· Мобильный пользователь;

· Пользователь Малый бизнес;

IPSec VPN оптимален для объединения сетей разных офисов через Интернет. Можно устанавливать VPN-соединение с использованием протокола IPSec.

Рис. 9 – модель построения сети Малый офис/Домашний офис(SO/HO)

Для пользователей Малый бизнес/Малый офис/Домашний офис:

1. Экономическая эффективность;

2. Законченное решение для коммерческого использования;

Для дистанционных пользователей:

1. Интегрированное безопасное решение;

2. Нет необходимости в дополнительном программном обеспечении;

3. Простота конфигурирования;

Для коллективных пользователей:

1. Экономически эффективное решение для дистанционных пользователей и филиалов;

2. Совместимость с решениями большинства поставщиков решений для виртуальных частных сетей.

Существует две разновидности протокола IPSec: ESP (Encapsulation Security Payload, инкапсуляция защищённых данных) и AH (Authentication Header, Аутентифицирующий заголовок). ESP и AH - новые протоколы IP.

Протоколы семейства IPSec могут использоваться для защиты либо всех полезных данных IP-пакета, либо данных протоколов верхнего уровня в поле полезных данных IP-пакета. Это различие определяется выбором двух различных режимов протокола IPSec: транспортного режима или туннельного режима.

Транспортный режим в основном используется хостом IP для защиты генерируемых им самим данных, а туннельный режим используется шлюзом безопасности для предоставления услуги IPSec другим машинам, не имеющим функций IPSec. Однако функции хоста IPSec и шлюза безопасности могут выполняться одной и той же машиной. Оба протокола IPSec, AH и ESP, могут выполняться в транспортном или туннельном режиме.

Рис. 10 – Транспортный и туннельный режимы IPSec

2.4 SSL – Протокол для построения VPN-туннеля (представлен технологией OpenVPN)

На транспортном уровне используется протокол SSL VPN (Secure Socket Layer VPN), реализующий шифрование и аутентификацию между транспортными уровнями приемника и передатчика. SSL может применяться для защиты трафика TCP, но не может применяться для защиты трафика UDP. Для функционирования VPN на основе SSL нет необходимости в реализации специального программного обеспечения так как каждый браузер и почтовый клиент оснащены этими протоколами.

SSL (Secure Socket Layer) протокол защищенных сокетов, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создается защищенное соединение между клиентом и сервером.

SSL использует защиту данных с открытым ключом для подтверждения подлинности передатчика и получателя. Поддерживает надёжность передачи данных за счёт использования корректирующих кодов и безопасных хэш-функций.

SSL использует:

1. RC4 - (Rivest cipher 4), также известен как ARC4 или ARCFOUR (alleged RC4) — потоковый шифр, широко применяющийся в различных системах защиты информации в компьютерных сетях (например, в протоколах SSL и TLS, алгоритмах обеспечения безопасности беспроводных сетей WEP и WPA));

2. MD5 – (MD5 (англ. Message Digest 5) — 128-битный алгоритм хеширования, разработанный профессором Рональдом Л. Ривестом из Массачусетского технологического института (Massachusetts Institute of Technology, MIT) в 1991 году. Предназначен для создания «отпечатков» или дайджестов сообщения произвольной длины и последующей проверки их подлинности. Широко применялся для проверки целостности информации и хранения паролей в закрытом виде.);

3. RSA – (RSA (аббревиатура от фамилий Rivest, Shamir и Adleman) — криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложности задачи факторизации больших целых чисел.Криптосистема RSA стала первой системой, пригодной и для шифрования, и для цифровой подписи. Алгоритм используется в большом числе криптографических приложений, включая PGP, S/MIME, TLS/SSL, IPSEC/IKE и других.

Другие алгоритмы защиты данных.

SSL использует два ключа для защиты данных - открытый ключ и закрытый или частный ключ известный только получателю сообщения.

На сегодняшний день, в сети Интернет можно встретить множество сайтов на которых используется протокол SSL для обеспечения безопасности пользовательских данных (например, веб-сайты предоставляющие коммерческие и банковские сервисы). Практически все самые популярные браузеры, почтовые клиенты и интернет-приложения поддерживают работу с протоколом SSL. Для доступа к страницам, защищённым протоколом SSL, в URL вместо обычного префикса http (в соответствии с рис. 11), как правило, применяется префикс https (порт 443), указывающий на то, что будет использоваться SSL-соединение.

Рис. 11 – Примеры сайтов, где применяется протокол SSL

SSL также может обеспечить защиту протоколов прикладного уровня (уровень 7 модели OSI), например, таких как POP3 или FTP. Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат. Безопасное соединение между клиентом и сервером при использовании SSL выполняет две функции - аутентификацию и защиту данных.

SSL состоит из двух уровней. На нижних уровнях (уровни 4-5) многоуровневого транспортного протокола (например, TCP) он является протоколом записи и используется для инкапсуляции (то есть формирования пакета) различных протоколов. Для каждого инкапсулированного протокола он обеспечивает условия, при которых сервер и клиент могут подтверждать друг другу свою подлинность, выполнять защиту передаваемых данных и производить обмен ключами, прежде чем протокол прикладной программы начнет передавать и получать данные.

Преимущества протокола SSL:

· Простота использования

· Нет необходимости в дополнительном программном обеспечении

· Безопасный удаленный доступ

SSL VPN оптимален для подключения удаленных пользователей к ресурсам локальной сети офиса через Интернет.

Рис. 12 – Пример построения сети с помощью SSL VPN

Относительно новая технология с открытым исходным кодом, OpenVPN использует протоколы SSLv3/TLSv1 и библиотеку OpenSSL, а также некоторые другие технологии, что в целом обеспечивает надежное и мощное VPN-решение для пользователей. Протокол гибок в настройке и лучше всего работает через UDP-порт, однако его можно настроить для работы с любым другим портом, так что сервисам типа Google будет трудно их заблокировать.

Другое значимое преимущество заключается в том, что библиотека OpenSSL поддерживает различные алгоритмы шифрования, в том числе 3DES, AES, Camellia, Blowfish, CAST-128, хотя провайдеры VPN используют практически исключительно только Blowfish или AES/ По умолчанию предоставляется 128-битное шифрование Blowfish. Обычно оно считается безопасным, однако были отмечены некоторые уязвимости.

Если говорить о шифровании, AES – это самая новая технология и она считается “золотым стандартом”. На данный момент не известно об уязвимостях этой системы, так что она даже используется правительством и секретными службами США для защиты данных. AES лучше справляется с объемными файлами, чем, например, Blowfish, так как размер блока составляет 128 бит, тогда как у Blowfish – 64 бита. Тем не менее, оба механизма шифрования сертифицированы NIST, а значит, существуют определенные проблемы, о которых мы поговорим далее.

Прежде всего, скорость OpenVPN зависит от уровня шифрования, хотя обычно она выше, чем у IPSec. И хотя OpenVPN – это подключение, используемое по умолчанию большинством VPN-провайдеров, оно не поддерживается на каких-либо платформах. Однако активно разрабатываются приложения от сторонних производителей, в частности для Android и iOS.

Установка чуть сложнее, чем для L2TP/IPSec и PPTP, в частности когда используется общее приложение для OpenVPN. Вам потребуется не просто скачать и установить клиент, но еще и потратить время на изменение файлов настройки. Некоторые VPN-провайдеры предлагают предварительно настроенные клиенты.

Однако, с учетом всех факторов и информации, представленной Эдвардом Сноуденом, кажется, что протокол OpenVPN является самым безопасным на данный момент. Также предполагается, что он защищен от вмешательства Агентства национальной безопасности США, так как протокол использует экспериментальные методы шифрования. Без сомнения, никто не знает всех возможностей Агентства национальной безопасности, однако, скорее всего это единственный по-настоящему безопасный протокол на сегодня.

Плюсы

· Позволяет обходить большинство файрволов

· Гибкая настройка

· Открытый исходный код – может быстро адаптироваться к новым опасностям

· Совместим с различными алгоритмами шифрования

· Высокая степень безопасности

Минусы

· Сложно настроить

· Требуется стороннее ПО

· Поддержка компьютеров неплоха, но на мобильных устройствах протокол работает не лучшим образом.

Security socket tunneling protocol (протокол безопасного туннелирования сокетов), также называемый SSTP, это по определению протокол прикладного уровня (application-layer protocol). Он спроектирован для создания синхронного взаимодействия при совместном обмене двух программ. Благодаря ему возможно несколько подключений приложения по одному соединению между узлами, в результате чего достигается эффективное использование сетевых ресурсов, которые доступны в этой сети.

Протокол SSTP основан SSL, а не на PPTP или IPSec и использует TCP Port 443 для передачи трафика SSTP. Хотя он тесно связан с SSL, нельзя сделать прямого сравнения между SSL и SSTP, т.к. SSTP лишь туннельный протокол (Tunneling Protocol) в отличие от SSL. Существует несколько причин для выбора SSL, а не IPSec в качестве основы для SSTP. IPSec направлен на поддержку соединения site-to-site VPN connectivity, и поэтому SSL имеет лучшую основу для разработки SSTP, т.к. он поддерживает роуминг (roaming). Другие причины для того, чтобы не использовать IPSec, заключаются в следующем:

· Он не обеспечивает сильной аутентификации (strong authentication)

· Существуют различия в качестве и кодировании клиентов пользователей от поставщика к поставщику

· Не IP протоколы не поддерживаются по умолчанию

· Т.к. IPSec был разработан для безопасных соединений site to site Security connections, поэтому легко представить проблемы удаленных пользователей при подключении из места с ограниченным числом IP адресов.

Разработка SSTP была вызвана нехваткой возможностей VPN. Самый главный недостаток VPN – это нестабильное соединение. Это возникает из-за недостаточности областей покрытия. SSTP значительно расширяет область покрытия VPN соединения, сводя тем самым эту проблему до минимума. SSTP устанавливает соединение по безопасному протоколу HTTPS; это предоставляет клиентам безопасный доступ к сетям за маршрутизаторами NAT router, брандмауэрами (firewall) и веб прокси (web proxies), не заботясь об обычных проблемах с блокировкой портов.

SSTP не спроектирован для соединения site-to-site VPN connections, а предназначен для использования при соединении client-to-site VPN connections.

Успех SSTP может быть обнаружен в следующих возможностях:

· SSTP использует HTTPS для установления безопасного соединения

Туннель SSTP (VPN) будет работать по Secure-HTTP. Будет устранена проблема с VPN соединениями, работающими по протоколу Point-to-Point Tunneling Protocol (PPTP) или по протоколу Layer 2 Tunneling Protocol (L2TP). Веб прокси (Web proxies), брандмауэры (firewall) и маршрутизаторы Network Address Translation (NAT) routers, расположенные на пути между клиентом и сервером, больше не будут блокировать соединения VPN.

· Снижается количество проблем с обычной блокировкой портов

Проблемы с блокировкой соединения по отношению к блокировке порта PPTP GRE или L2TP ESP на брандмауэре (firewall) или NAT router, которые не позволяли клиенту подключиться к серверу, больше не являются проблемой, т.к. достигается повсеместное соединение. Клиенты могут подключаться из любого места в интернет.

· SSTP Client встроен в операционную систему Windows Vista SP1

· SSTP не вызывает новых проблем, т.к. контроль конечных пользователей end-user VPN controls остается неизменным. SSTP, работающий по VPN туннелю, встраивается напрямую в интерфейсы для программного обеспечения для клиентов и серверов Microsoft VPN.

· Полная поддержка IPv6. SSTP VPN туннель можно установить по протоколу IPv6.

· Используется интегрированная поддержка защиты доступа к сети (network access protection) для проверки состояния клиента.

· Сильная аутентификация (Strong integration) на клиенте и сервере MS RRAS, с возможностью двух факторной аутентификации (two factor authentication).

· Увеличилась зона покрытия VPN от нескольких точек до практически любого Интернет подключения.

· SSL инкапсуляция прослеживания по порту 443.

· Может управляться и контролироваться с помощью брандмауэров прикладного уровня, как ISA server.

· Полностью сетевое решение VPN, а не просто прикладной туннель для одного приложения.

· Интеграция в NAP.

· Возможна интеграция и конфигурация с помощью политик для проверки состояния клиента.

· Одна сессия создается для туннеля SSL.

· Не зависит от приложения.

· Более сильная аутентификация по сравнению с IPSec

· Поддержка не IP протоколов – это основное улучшение по сравнению с IPSec.

· Нет нужды в покупке дорогостоящего и труднонастраиваемого аппаратного брандмауэра (hardware firewall), который не поддерживает интеграцию с Active directory и двух факторную аутентификацию.

Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1, и хотя он теперь доступен на Linux, RouterOS и SEIL, он по-прежнему используется в значительной степени только Windows-системами (есть очень маленький шанс, что он появится на Apple устройствах). SSTP использует SSL v.3 и, следовательно, предлагает аналогичные преимущества, что и OpenVPN (например, возможность использовать TCP-порт 443 для обхода NAT), а так как он интегрирован в Windows, он проще в использовании и более стабилен, чем OpenVPN.

Плюсы:

· очень безопасен (зависит от алгоритма шифрования, обычно используется очень стойкий AES)

· полностью интегрирован в Windows (начиная с Windows Vista SP1)

· имеет поддержку Microsoft

· может работать сквозь файрволлы
Минусы:

· работает только в Windows-среде

Дата добавления: 2017-02-01; Просмотров: 101; Нарушение авторских прав?; Мы поможем в написании вашей работы!